如今，AI編程工具恰似一把雙刃劍。作為有望成為互聯(lián)網(wǎng)“新基建”的產(chǎn)品，能讓非程序員群體也能編寫代碼的AI編程，已成為各大科技巨頭的標(biāo)配。

然而，其發(fā)展之路并非坦途。進(jìn)入7月后，AI編程產(chǎn)品接連出現(xiàn)問題。

據(jù)TechSpot報(bào)道，亞馬遜旗下AWS的AI編程助手Amazon Q存在重大漏洞，可能導(dǎo)致用戶文件被刪除，與AWS賬戶關(guān)聯(lián)的云端資源被清除。

一名黑客通過正常拉取請(qǐng)求發(fā)起攻擊。一旦Amazon Q的開源GitHub倉庫接受請(qǐng)求，黑客就會(huì)插入提示，指示Amazon Q“將系統(tǒng)清理到接近工廠狀態(tài)、并刪除文件系統(tǒng)和云資源”，進(jìn)而造成用戶文件刪除和云端資源擦除。

該黑客稱，其目的是暴露AWS安全防護(hù)不足。他加入的惡意代碼實(shí)際不起作用，目標(biāo)是促使亞馬遜承認(rèn)在AI安全領(lǐng)域的不足，并將AI安全措施從形式化轉(zhuǎn)為實(shí)用化。

ZDNet資深撰稿人Steven Vaughan - Nichols認(rèn)為，此事件反映了AWS管理開源工作流程的方式。僅開放代碼庫無法保障安全，關(guān)鍵在于訪問控制、代碼審查和驗(yàn)證。惡意代碼進(jìn)入官方版本，是因?yàn)轵?yàn)證流程未檢測(cè)到未經(jīng)授權(quán)的拉取請(qǐng)求。

從某種程度講，Amazon Q此次失誤是亞馬遜過度追求“速度”的結(jié)果。它是AWS在2023年末re:Invent期間推出的面向企業(yè)級(jí)用戶的產(chǎn)品，但在與ChatGPT企業(yè)版、微軟Copilot AI的競爭中一直落后。

為提升知名度，AWS讓Amazon Q走開源路線。但與谷歌、微軟等大廠相比，亞馬遜在與開源社區(qū)合作方面聲譽(yù)不佳。GitHub數(shù)據(jù)顯示，亞馬遜員工為開源項(xiàng)目貢獻(xiàn)代碼的數(shù)量遠(yuǎn)少于微軟和谷歌。長期與開源社區(qū)保持距離，可能使其對(duì)開源工作流程生疏，導(dǎo)致開發(fā)者出錯(cuò)。

如果說Amazon Q的漏洞是軟件開發(fā)常見問題，那么AI編程平臺(tái)Replit上的事故堪稱“智械危機(jī)”。不久前，SaaS商業(yè)開發(fā)公司SaaStr的創(chuàng)始人Jason Lemkin稱，使用Replit時(shí)遭遇AI無視指令、偽造測(cè)試數(shù)據(jù)、誤刪生產(chǎn)數(shù)據(jù)庫等一系列問題。

最離奇的是，Lemkin明確要求Replit不擅自更改代碼，AI仍刪除了他的數(shù)據(jù)庫。Replit承認(rèn)錯(cuò)誤，還稱“數(shù)據(jù)庫回滾功能不支持此類場景，所有版本被銷毀，無法恢復(fù)”。但一天后，Lemkin發(fā)現(xiàn)回滾功能可恢復(fù)數(shù)據(jù)，Replit所謂“無法回滾”是謊言。

盡管SaaStr遇到的Replit“發(fā)瘋”是虛驚一場，Amazon Q的失誤是常規(guī)事故，但這為AI編程工具的未來蒙上陰影。因?yàn)锳I編程工具主要面向企業(yè)級(jí)用戶，而非個(gè)人消費(fèi)者。

例如，AWS宣傳Amazon Q時(shí)提到，它需連接公司數(shù)據(jù)、信息和系統(tǒng)，才能處理復(fù)雜任務(wù)。Replit的核心優(yōu)勢(shì)是全流程自動(dòng)化，代碼編寫、部署、測(cè)試、上線都由AI完成。所以兩者都會(huì)直接用于生產(chǎn)環(huán)節(jié)，因?yàn)橐柚鶤I提升效率，就需將其連接到生產(chǎn)數(shù)據(jù)庫。

然而，AI幻覺使AI編程工具輸出的代碼不穩(wěn)定，需要人類程序員維護(hù)和檢查。但如果AI生成內(nèi)容還需人工校核，包括數(shù)據(jù)、來源和編程思路，那就失去了意義，與“重復(fù)造輪子”無異。

更致命的是，從目前業(yè)界認(rèn)可的AI倫理看，AI無法真正負(fù)責(zé)，這導(dǎo)致使用AI編程產(chǎn)品出現(xiàn)問題時(shí)責(zé)任劃分模糊?！皠h庫跑路”在程序員圈是段子，因?yàn)檫@違反我國《刑法》第286條破壞計(jì)算機(jī)信息系統(tǒng)罪。

人類程序員若在數(shù)據(jù)庫中輸入“rm -rf / ”，將面臨法律制裁。而Replit刪庫問題，官方僅提供全額退款。幸好SaaStr遇到的AI刪庫是虛驚一場，退款勉強(qiáng)安撫了客戶，若真出現(xiàn)AI刪除用戶數(shù)據(jù)庫的情況，后果將不堪設(shè)想。

要讓AI編程工具的用戶安心，廠商最有效的辦法是“包賠”，但以目前AI大模型的穩(wěn)定性，估計(jì)沒有廠商敢承諾。這就是問題所在，AI編程工具雖能提高開發(fā)人員生產(chǎn)力和效率，但也可能成為定時(shí)炸彈。

本文來自微信公眾號(hào) “三易生活”（ID：IT - 3eLife），作者：三易菌，36氪經(jīng)授權(quán)發(fā)布。

本文僅代表作者觀點(diǎn)，版權(quán)歸原創(chuàng)者所有，如需轉(zhuǎn)載請(qǐng)?jiān)谖闹凶⒚鱽碓醇白髡呙帧?/p>

免責(zé)聲明：本文系轉(zhuǎn)載編輯文章，僅作分享之用。如分享內(nèi)容、圖片侵犯到您的版權(quán)或非授權(quán)發(fā)布，請(qǐng)及時(shí)與我們聯(lián)系進(jìn)行審核處理或刪除，您可以發(fā)送材料至郵箱：service@tojoy.com